對於 Android 憑證驗證,憑證 Proxy 服務會以獨立服務的形式在 VMware Identity Manager 節點上執行,以接收連接埠 5262 上的連線,並在連接埠 443 上設定 VMware identity Manager 服務的 Proxy 連線以進行驗證。

VMware Identity Manager 的 HTTPS 443 流量可以設定為在負載平衡器/反向 Proxy 上使用第 7 層 SSL 卸載,或允許 SSL 作為第 4 層 TCP 傳遞至後端伺服器。當使用 SSL 傳遞設定 443 流量時,VMware Identity Manager 服務 (連接埠 443) 和連接埠 5262 上的憑證 Proxy 服務會共用公開信任的憑證。無需額外組態。

如果 HTTPS 流量在負載平衡器/反向 Proxy 上卸載 SSL,則 VMware Identity Manager 服務會使用自我簽署憑證來信任應用程式安裝程序期間所產生的憑證。由於 5262 必須設定為 SSL 第 4 層 TCP,且 SSL 傳遞需要公開信任的 SSL 憑證,這會導致主機上執行的兩個服務之間的憑證不相符。為了避免此問題,憑證 Proxy 服務需要在伺服器上設定次要連接埠 5263。連接埠 5263 與 VMware Identity Manager 服務上執行的連接埠會共用相同的自我簽署憑證。設定其他連接埠 5263 以確保 Android 版行動 SSO 程序的通訊安全和信任,同時允許在負載平衡器上進行 HTTPS 流量解密。

決定 SSL 重新加密與 SSL 卸載之間的 HTTP 443 流量

以下的決策矩陣可協助您使用 VMware Identity Manager 服務來設定憑證 Proxy 服務。

在此矩陣中,SAN 憑證會定義為包含 VMware Identity Manager VIP FQDN 和每個節點機器 FQDN 的憑證。FQDN 使用非路由式網域/子網域的格式。根據您的 VMware 設計使用此矩陣來判斷是否已設定連接埠 5263。

表格 1. 憑證 Proxy 組態決策矩陣

公用命名空間

DMZ 命名空間

憑證類型

負載平衡器需求

需要憑證 Proxy 連接埠 5263

共用命名空間 (.com / .com)

example.com

example.com

萬用字元、SAN

需要 SSL 重新加密

example.com

example.com

單一主機 CN

需要 SSL 重新加密

example.com

example.com

萬用字元、SAN

需要 SSL 傳遞

脫離的命名空間 (.com / .dmz)

example.com

example.dmz

萬用字元、單一主機 CN

需要 SSL 重新加密

example.com

example.dmz

SAN

需要 SSL 重新加密

example.com

example.dmz

SAN

需要 SAN 傳遞

圖 1. DMZ 中的 VMware Identity Manager Proxy 連接埠組態僅設定連接埠 5262
圖 2.